Le dossier "node_modules" doit-il être inclus dans le dépôt git ?

Question

Je me demande si nous devons suivre les node_modules dans notre repo ou faire une installation npm lorsque nous vérifions le code ?

Answer 1

Je suis d'accord avec ivoszz que c'est parfois utile pour vérifier le dossier node_modules, mais ...

---

scénario 1 :

Un scénario : Vous utilisez un paquet qui a été supprimé de npm. Si vous avez tous les modules dans le dossier node_modules, alors ce ne sera pas un problème pour vous. Si vous n'avez que le nom du paquet dans le package.json, vous ne pouvez plus l'obtenir. Si un paquet a moins de 24 heures, vous pouvez facilement le supprimer de npm. S'il a plus de 24 heures, vous devez les contacter. Mais :

Si vous contactez le service d'assistance, il vérifiera si la suppression de cette version de votre paquet n'interrompt pas d'autres installations. Si c'est le cas, nous ne la supprimerons pas.

en savoir plus

Donc les chances pour cela sont faibles, mais il y a le scénario 2...

---

scénario 2 :

Un autre scénario où c'est le cas : Vous développez une version entreprise de votre logiciel ou un logiciel très important et écrivez dans votre package.json :

"dependencies": {
    "studpid-package": "~1.0.1"
}

Vous utilisez la méthode function1(x) de ce paquet.

Maintenant les développeurs de studpid-package ont renommé la méthode function1(x) à function2(x) et ils font une faute... Ils changent la version de leur paquet de 1.0.1 à 1.1.0 . C'est un problème parce que lorsque vous appelez npm install la prochaine fois, vous accepterez la version 1.1.0 parce que vous avez utilisé le tilde ( "studpid-package": "~1.0.1" ).

Appel à function1(x) peut causer des erreurs et des problèmes maintenant.

---

Mais :

Pousser l'ensemble du dossier node_modules (souvent plus de 100 Mo) vers votre dépôt, vous coûtera de l'espace mémoire. Quelques kb (package.json uniquement) par rapport à des centaines de MB (package.json & node_modules)... Pensez-y.

Vous pourrait le faire / devrait y penser si :

• le logiciel est très important.

• ça vous coûte de l'argent quand quelque chose échoue.

• vous ne faites pas confiance au registre de npm. npm est centralisé et pourrait théoriquement être fermé.

Vous n'ont pas besoin pour publier le dossier node_modules dans 99,9% des cas si :

• vous développez un logiciel juste pour vous.

• vous avez programmé quelque chose et vous voulez simplement publier le résultat sur GitHub parce que cela pourrait intéresser quelqu'un d'autre.

---

Si vous ne voulez pas que les node_modules se trouvent dans votre dépôt, créez simplement un fichier .gitignore et ajoutez la ligne node_modules .

Answer 2

Je voudrais proposer une alternative intermédiaire.

1. N'ajoutez pas node_modules dans git.
2. Utilisez un package-lock.json pour déterminer les versions de vos dépendances.
3. Dans votre processus de CI ou de publication, lorsque vous publiez une version, faites une copie du dossier node_modules et sauvegardez-la (par exemple, dans un stockage en nuage).

Dans le cas rare où vous ne pouvez pas accéder à NPM (ou aux autres registres que vous utilisez) ou à un paquet spécifique de NPM, vous disposez d'une copie de node_modules et pouvez continuer à travailler jusqu'à ce que vous rétablissiez l'accès.

Answer 3

Un autre élément à prendre en compte : l'enregistrement node_modules rend plus difficile / impossible l'utilisation de la différence entre dependencies et devDependencies .

D'un autre côté, on pourrait dire qu'il est rassurant de mettre en production exactement le même code que celui qui a été testé - donc en incluant devDependencies .

Answer 4

Node_modules n'est pas obligé d'être vérifié si les dépendances sont mentionnées dans le package.json. Tout autre programmeur peut simplement l'obtenir en faisant npm install et le npm est assez intelligent pour mettre le node_modules dans votre répertoire de travail pour le projet.